「AI」と「API」でセキュリティリスクが急増、企業が対策せざるを得ない理由：NaaSとAPIセキュリティが鍵に

マルチクラウドが当たり前となり、生成AIに注目が集まる今、APIの重要性が高まっている。アプリケーションがマイクロサービスに変わったことでAPI通信が激増している。また、生成AIアプリケーションの構築や利用はほぼ必ずAPIを経由する。こうした変化の中で、企業はネットワークやセキュリティの在り方をどう変えていけるのか。

[PR／＠IT]

　Webサービス企業にしろ、一般企業にしろ、アプリケーション／システムとデータを守らなければならないことは、昔も今も変わらない。しかし、生成AI利用で特に顕著だが、アプリケーションの作りや構成は様変わりしてきている。この根本的な変化を無視していると、大きな問題につながりかねない。

　ロードバランサーやアプリケーションデリバリーの領域で確たる実績を持つF5 Networks（以下、F5）は、こうしたトレンドを先取りし、マルチクラウド管理、NaaS（Network as a Service）、APIセキュリティ、AI（人工知能）などの技術を取り入れた「新しいF5」に生まれ変わっている。過去数年の間にNGINX、Volterra、Wib Securityといったテクノロジースタートアップの買収を完了し、それらの技術を製品ポートフォリオに組み込み、ユーザーに新しい価値を届ける体制を築いた。

　ではF5が自社の命運をかけて取り組む、さまざまな企業の直面する課題とは具体的には何なのか。F5はこれをどのように解決するのか。

　F5は2024年9月4日、約4年ぶりに国内でオンサイト開催したイベント「AppWorld 2024 Tokyo」で、新しいビジョンとアプローチ、ソリューションを披露した。本記事では同イベントの基調講演から、課題と解決策を読み解く。

「新しいF5」とは何か

　イベントの冒頭、F5ネットワークスジャパンのカントリーマネージャー 木村正範氏はまず、F5のビジョンについてこう切り出した。

　「創業以来、F5が常に考え続けているのはアプリケーションです。アプリケーションがどこから配信されているか、アプリケーションがどのように作られているかを深く理解し、アプリケーションをより快適で安全に利用できるようにしてきました。より良いデジタルエクスペリエンスを提供できるように支援することがF5の使命です」

F5ネットワークスジャパン カントリーマネージャーの木村正範氏

　しかし今、アプリケーションを取り巻く環境は大きく変化している。F5はこの動きを先取りしてさまざまな投資を行ってきた。

　アプリケーションはオンプレミスからパブリッククラウド、エッジへと広がり、ハイブリッド／マルチクラウドが当たり前になった。アプリケーションの作り方もモノリシックからマイクロサービスに変わった。アプリケーションの間や内側で、APIによって通信を行うという新しい形態が広がり、新たなセキュリティの課題が生まれている。

　今では、一般企業における生成AIアプリケーションの構築が、これに拍車を掛けている。生成AIアプリケーションにおけるLLM（大規模言語モデル）との通信は、必ずAPIで行われる。また、ほとんどがコンテナアプリケーションとして作られており、内部の通信は全てAPIで行われている。

　「F5はこうした変化に対応すべく投資してきました。その結果、マルチクラウド、マルチプラットフォームの環境で包括的なアプリケーションデリバリー、アプリケーションセキュリティを提供できる企業に進化しました」（木村氏）

　続いて、CTO（最高技術責任者）兼AIオフィサーのクアル・アナンド氏が登壇し、AIを取り巻く環境の変化とF5の取り組みを解説した。アナンド氏はまず「AIは、近年大きく進化しましたが、アプリケーションによる活用は限定されたユースケースにとどまっています」と問題を提起。その上で、次のように課題を整理した。

　「AI活用には、モデルの学習と推論という2つのフェーズがあります。学習では、大量のデータとマルチモーダルなコンテンツに対応していく必要があります。推論では、RAG（検索拡張生成）を含めた複数のサービスの組み合わせでAIアプリケーションを利用することが求められます。結果として、今後あらゆる企業がAPIにますます依存するようになります」

AIの進展でAPI中心の新たなアーキテクチャが求められる

　「学習を行う際のデータも、推論を行う際のクエリもAPIを介してやりとりします。APIはさまざまなAIアプリケーションやデータをつなぐ接着剤です。加えて考える必要があるのは、AIを活用するためのGPUです。GPUを搭載したAIサーバの利用環境は、取り扱うデータ量やLLMのパラメーター数の増加に伴ってますます拡張します。最終的にデータセンターは、大量のAIサーバ群で構成される『AIファクトリー』とも呼ぶべき設備になります。AIファクトリーの内部では、大量のAPIコールを安全で効率良く処理する必要があります。さらに、データセンター間では広域負荷分散も必要です」（アナンド氏）

AIファクトリーと関連する情報のアーキテクチャの概要図（提供：F5ネットワークスジャパン）

　アナンド氏は、AIの進展とAPIへの依存が高まると、従来の情報フローの在り方は大きく変わり、APIを中心にした新しいシステムアーキテクチャが求められるようになるという。

　「特定のデータセンター内でAPI、データ、トラフィックを管理するだけでは不十分です。オンプレミスからプライベートクラウド、パブリッククラウド、エッジといった複数の環境でやりとりされるさまざまな情報を、一括管理するアーキテクチャに変える必要があります。加えて、組織としてAIを安全で責任ある形で実装することが求められます。AIのセキュリティ、安全性の担保、品質改善に関する統合的な取り組みが重要になるのです」

　アナンド氏によると、多くの企業がAIに関する専門組織として「AI CoE」（AIセンターオブエクセレンス）を設立し、セキュリティ、安全性、品質改善に注力し始めているという。また、セキュリティの非営利団体OWASP（Open Worldwide Application Security Project）もLLMやAPIに関するリスクを公表するなど、AIの進化とAPIへの依存が高まる中で、企業が何に注意すべきかをアドバイスしている。

　「AIというテクノロジーはディスラプション（創造的な破壊）を引き起こします。だからこそ、この新しい世界でセキュリティをどう確保していくかが非常に重要です。2027年までに、モダンなアプリケーションの50％以上はAI技術を活用するようになると予測されています。AIの安全性とセキュリティは最重要課題の一つです」

F5の製品全体でAI活用を支援

　AI活用が進み、マルチクラウド管理やAPIセキュリティが重要になる中、F5はどのようなアプローチで顧客にソリューションを届けようとしているのか。

　まず、自社製品におけるAIのフル活用がある。

　「F5は、提供する製品ポートフォリオの全てでAI活用を進めています。例えば、アプリケーションデリバリーコントローラー『BIG-IP』の設定コードであるiRulesの自動生成、AIを搭載したWAF（Webアプリケーションファイアウォール）の提供、AIアシスタントの組み込み、予測運用などです」（アナンド氏）

　一方、F5は生成AIの学習と推論の双方で、パフォーマンスとセキュリティの向上を支援できると強調した。

　「顧客体験をさらにリッチにし、セキュリティ体制を強化し、重要な情報を提供するために生成AIソリューションを追加します。取り組みは大きく分けて3つあります。1つ目はAIデータの取り込みです。学習やRAGのために大きなデータストアからデータを効率良く抽出する際にF5の負荷分散技術が生きます。2つ目はAIファクトリーにおける負荷分散、高度なトラフィック管理でAIデータセンターのパフォーマンスと規模を最適化します。3つ目は安全性の高いAI推論です。機密データを保護しながら安全性の高い推論を実現します。APIを使った脅威の検知、データの分類、APIによる攻撃のブロックなどを製品ファミリー全体で利用できるようにします」（アナンド氏）

　学習プロセスでは、AIデータセンター内での最適な負荷分散により、高価なGPUの寿命を延ばすこともできるとしている。

　アナンド氏の話で特に興味深かったのは、生成AIとAPIのセキュリティが切っても切れない関係にあるという指摘だ。

　生成AIの利用に当たって日本企業の間で特に大きな懸念となっているのは情報漏えいだ。LLMはAPI経由で利用するため、APIの不正利用を防ぐことは情報漏えい対策で欠かすことができない。

　実際に、海外ではインターネット経由でプライベートなLLMにアクセスし、秘匿性の高い情報を取得できたというセキュリティ研究者の報告もある。こうしたセキュリティ上の穴をふさぐことの重要性は高い。

F5はアプリケーションとAPIをマルチクラウドで守る

　続いてDistributed Cloud Platform＆セキュリティサービス担当SVP兼 GMのアルール・エルマライ氏が登壇。F5が提供するマルチクラウド管理のためのソリューションやセキュリティ機能を解説した。

　エルマライ氏はまず、今後アプリケーションがAPIへの依存を強める中で、サイバー脅威の予測はますます難しくなると指摘する。

　「しかし、脅威を予測し対策を講じることは可能です。APIは、アプリケーションやデータを接続する重要なゲートウェイとして機能します。APIを保護することでアプリケーションを保護できます。もちろんAPIはサイバー攻撃の重要な標的にもなり得ます。そうした状況の中でF5は、あらゆるアプリケーションとAPIを保護、最適化できるアプリケーションセキュリティベンダーとなります」

　近年はハイブリッド、マルチクラウド環境が当たり前になり、運用の複雑性、高コスト、サイバーリスクの増大といった課題に直面している。F5はそれらの課題に対して一貫したソリューションを提供できる。

　「F5のソリューションは『Distributed Cloud Services』『NGINX』『BIG-IP』の3つの柱からなります。この3つでオンプレミスからクラウド、エッジまでをカバーします。ソリューションはハードウェア、ソフトウェア、SaaS型で提供し、ライセンスも永続型、サブスクリプション、ユーティリティー消費モデルを用意しています。お客さまが利用する際の複雑性を排除し、俊敏なビジネス展開を支援します」（エルマライ氏）

F5の3本柱（提供：F5ネットワークスジャパン）

　続いて登壇したF5ネットワークスジャパン シニアディレクターのジョー・テホメ・ペルス氏と、ソリューションアーキテクトの中嶋大輔氏は、マルチクラウド管理のユースケースやAPIセキュリティの詳細を解説した。

　両氏は、複数のクラウド環境に散在するアプリケーションのセキュリティを、1つのコンソールから簡単に一元管理できることを紹介した。ペルス氏は、「F5はハイブリッド接続を簡素化して一貫したセキュリティを強化し、アプリケーションの移行を容易にします」と話した。

F5の言っていることは「うちには関係ない」のか

　F5がアピールしていることは、あらゆる企業に関係がある。ハイブリッド／マルチクラウドのシステムはもはや当たり前だし、他社とのシステム間連携を行うケースも増えている。生成AIアプリケーションの構築も進む。こうした変化によって企業には2つの課題が生まれている。

　第1に、ハイブリッドクラウド、マルチクラウドのアプリケーションとAPIセキュリティ管理の一元化はもはや無視することができない課題だ。

　第2にハイブリッドクラウド、マルチクラウド化するアプリケーション／APIのセキュリティをネットワーク面で確保することも不可欠だ。だが従来の運用手法では、もはやネットワークの複雑化と機動性の要件に対応できない。

　この2つの大きな課題をF5は具体的にどう解決できるのか。詳しくは下記のリンクの記事をお読みいただきたい。